Virus de un antivirus (SOLUCIONADO)

chakal · Mensaje por **chakal** » 03 Ene 2008, 15:00

Hola, tengo un pequeño problema en el ordenador, y es que bajandome unas cosas me entró un virus que resulta que me esta tocando los cojones para que compre un antivirus y quería saber si tiene solución, estoy pasando el ad-aware SE y estoy bajando el spybot a ver que sale

Mensaje por **flacoroo** » 03 Ene 2008, 15:12

bajate estos programitas

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

[url=http://www.zonavirus.com/descargas/elinotif.asp][u]~~[b]~~Descargar Elinotiff [/b][/u][/url]

[url=http://www.zonavirus.com/descargas/elibagla.asp][u]~~[b]~~Descargar Elibagla [/b][/u][/url]

y los ejecutas encendiendo tu compu en modo seguro y despues nos pegas el resultado que se crea en C:infosat.txt para ver las acciones que se realizaron

chakal · Mensaje por **chakal** » 03 Ene 2008, 15:27

Vale, estoy con ello, otra cosa me ha desactivado todo lo que aparecía en el inicio, panel de control, configuracion de redes.... todo lo importante, las aplicaciones me aparecen

chakal · Mensaje por **chakal** » 03 Ene 2008, 15:42

Thu Jan 03 15:18:10 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCABBX] -> C:\WINDOWS\SYSTEM32\ddcabbx.dll

[WinLogon\Notify\DDCABBX]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCABBX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

C:\WINDOWS\XPUPDATE.EXE --> Eliminado BraveSentry(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\AVP.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\AVP.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCABBX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCABBX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Thu Jan 03 15:18:50 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCABBX] -> C:\WINDOWS\SYSTEM32\ddcabbx.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

[WinLogon\Notify\DDCABBX]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCABBX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCABBX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCABBX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 15:23:06 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

C:\Archivos de programa\DAEMON Tools\DAEMON.EXE --> Acceso Denegado, WinAd

Nº Total de Directorios: 2705

Nº Total de Ficheros: 51025

Nº de Ficheros Analizados: 5988

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Jan 03 15:33:14 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Jan 03 15:33:24 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5259

Nº Total de Ficheros: 83073

Nº de Ficheros Analizados: 15839

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 03 15:38:03 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5259

Nº Total de Ficheros: 83073

Nº de Ficheros Analizados: 15839

Nº de Ficheros Infectados: 0

Mensaje por **flacoroo** » 03 Ene 2008, 15:49

mira te pide que tengas el programita elinotif bajalo ya tienes el link ya que es un complemento del Elistara y reinicias tu compu en modo seguro y ejecutas elistara, no se te olvide mandar los archivos que se te pide, para actualizar los programitas en cuestion, los comprimes y les pones la contraseña virus y lo envias a zonavirus@satinfo.es con la leyenda de tu post

chakal · Mensaje por **chakal** » 03 Ene 2008, 15:55

donde pongo el archivo .dll lo pongo al lado de elistara, tengo ke ponerlo en algun sitio especial¿

Mensaje por **msc hotline sat** » 03 Ene 2008, 16:02

Aparte de lanzar de nuevo el ELISTARA habiendo copiado el ELINOTIF.DLL en su misma carpeta, y postear el infosat generado, puede irnos enviando estos ficheros para analizar:

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCABBX.DLL

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\AVP.EXE.Muestra EliStartPage v15.35

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

Por favor, envienos una muestra del fichero

C:\Muestras\DDCABBX.DLL.Muestra EliStartPage v15.35

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-12-2008

chakal · Mensaje por **chakal** » 03 Ene 2008, 16:23

ya está, el virus no se elimina, os he mandado la muestra

Mensaje por **flacoroo** » 03 Ene 2008, 16:43

ok todas las muestras que se te piden debes mandarlas como se te explico y es para actualiar las herramientas para que se elimine los virus que tienes.....ya se te dira cuando este actualizado para que los bajes de nuevo y los ejecutes....

chakal · Mensaje por **chakal** » 03 Ene 2008, 16:45

si os sirve de algo, cuando inicio en normal o en seguro me aparece esto, es del virus :

http://img49.imageshack.us/img49/4220/virusdemierdaor3.png

No me deja instalar spybot, se me cierra la ventana, son mas datos que espero que os sirvan de algo

Mensaje por **msc hotline sat** » 03 Ene 2008, 17:36

Las muestras son variantes de VUNDO, hoy no va a dar tiempo a monitorizarlas, mañana informaremos

ms.

chakal · Mensaje por **chakal** » 03 Ene 2008, 21:27

espero que lo solucioneis cuanto antes por que cada vez el virus hace una cosa nueva y no deja de tocar las bolas, gracias por to

chakal · Mensaje por **chakal** » 04 Ene 2008, 02:09

Bien amigos, siguiendo con vuestra explicación de que era vundo me baje un programa llamado vundofix v6.7.7 y me elimino todos los archivos del vundo menos 1 :

khfgdeb.dll

En el elistara me aparece como vundo9 pero eso no le doy importancia, si alguien sabe algo que comente por favor

Mensaje por **msc hotline sat** » 04 Ene 2008, 06:24

Pues segun lo que diga el infosat.txt de este khfgdeb.dll, debes obrar en consecuencia:

Posteanos el contenido de dicho infosat.txt (como siempre se ha de hacer tras probar nuestras utilidades) y lo veremos para ayudarte en consecuencia.

Y eso de que ~~[b]~~[i]"me aparece como vundo9 pero eso no le doy importancia"[/i][/b] no sé a qué viene ??? No desprecies ningun virus !!!

saludos

ms, 4-1-2008

chakal · Mensaje por **chakal** » 04 Ene 2008, 14:32

No quise decir eso quise decir que lo de Vundo 9 sería parecido a vundo 8 o así, nada mas

chakal · Mensaje por **chakal** » 04 Ene 2008, 14:47

aqui esta el infosat:

Thu Jan 03 15:18:10 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCABBX] -> C:\WINDOWS\SYSTEM32\ddcabbx.dll

[WinLogon\Notify\DDCABBX]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCABBX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

C:\WINDOWS\XPUPDATE.EXE --> Eliminado BraveSentry(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\AVP.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\AVP.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCABBX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCABBX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Thu Jan 03 15:18:50 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCABBX] -> C:\WINDOWS\SYSTEM32\ddcabbx.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

[WinLogon\Notify\DDCABBX]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCABBX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCABBX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCABBX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 15:23:06 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

C:\Archivos de programa\DAEMON Tools\DAEMON.EXE --> Acceso Denegado, WinAd

Nº Total de Directorios: 2705

Nº Total de Ficheros: 51025

Nº de Ficheros Analizados: 5988

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Thu Jan 03 15:33:14 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Jan 03 15:33:24 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5259

Nº Total de Ficheros: 83073

Nº de Ficheros Analizados: 15839

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 03 15:38:03 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5259

Nº Total de Ficheros: 83073

Nº de Ficheros Analizados: 15839

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 03 15:47:39 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCABBX] -> C:\WINDOWS\SYSTEM32\ddcabbx.dll

[WinLogon\Notify\DDCABBX]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCABBX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCABBX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCABBX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 15:48:44 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\DAEMON Tools\DAEMON.EXE.VIR --> Eliminado, WinAd

C:\WINDOWS\XPUPDATE.EXE --> Eliminado, BraveSentry(dldr)

C:\WINDOWS\Temp\WIN80.EXE --> Eliminado, BraveSentry(dldr)

C:\WINDOWS\Temp\WIND8.EXE --> Eliminado, BraveSentry(dldr)

Nº Total de Directorios: 5259

Nº Total de Ficheros: 83104

Nº de Ficheros Analizados: 18984

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Thu Jan 03 15:56:11 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5178

Nº Total de Ficheros: 82568

Nº de Ficheros Analizados: 18785

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Thu Jan 03 15:56:42 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 3385

Nº Total de Ficheros: 64091

Nº de Ficheros Analizados: 12457

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ddcabbx.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\DDCABBX"

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\wowfx.dll -> Acceso Denegado.

Detectado Vundo9

Desinstalado EliNotif.dll

Thu Jan 03 16:00:33 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGHIF] -> C:\WINDOWS\SYSTEM32\ljjghif.dll

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvlem.dll,startup"

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 16:01:38 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5257

Nº Total de Ficheros: 83090

Nº de Ficheros Analizados: 18967

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Thu Jan 03 16:09:40 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 16:10:00 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5257

Nº Total de Ficheros: 83069

Nº de Ficheros Analizados: 18970

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 03 16:17:31 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTQRS] -> C:\WINDOWS\SYSTEM32\awttqrs.dll

[WinLogon\Notify\AWTTQRS]

Por favor, envienos una muestra del fichero

C:\WinLogon\AWTTQRS.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado BraveSentry(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AWTTQRS.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTTQRS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvpar.dll,startup"

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass.exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 16:18:09 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Temp\WINC1.EXE --> Eliminado, BraveSentry(dldr)

Nº Total de Directorios: 5259

Nº Total de Ficheros: 83106

Nº de Ficheros Analizados: 18984

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\awttqrs.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\AWTTQRS"

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\wowfx.dll -> Acceso Denegado.

Detectado Vundo9

Desinstalado EliNotif.dll

Thu Jan 03 16:27:31 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 16:28:02 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jan 03 16:28:10 2008

EliBagle v10.80 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Jan 03 16:28:12 2008

EliBagle v10.80 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Jan 03 16:28:18 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Jan 03 16:28:22 2008

EliTriIP v4.25 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5258

Nº Total de Ficheros: 83113

Nº de Ficheros Analizados: 6398

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 5258

Nº Total de Ficheros: 83113

Nº de Ficheros Analizados: 15841

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 5258

Nº Total de Ficheros: 83113

Nº de Ficheros Analizados: 18978

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 03 16:35:49 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 995

Nº Total de Ficheros: 13664

Nº de Ficheros Analizados: 358

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\wowfx.dll -> Acceso Denegado.

Detectado Vundo9

Desinstalado EliNotif.dll

Thu Jan 03 16:38:49 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\nnnkjjk.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\NNNKJJK"

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\wowfx.dll -> Acceso Denegado.

Detectado Vundo9

Desinstalado EliNotif.dll

Thu Jan 03 21:24:52 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvnog.dll,startup"

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass.exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.100,85.255.112.169

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\ddcbaab.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\DDCBAAB"

Detectado SurfSideKick

C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\wowfx.dll -> Acceso Denegado.

Detectado Vundo9

Desinstalado EliNotif.dll

Thu Jan 03 23:23:47 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvfix.dll,startup"

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass.exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.100,85.255.112.169

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Thu Jan 03 23:38:37 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\VTUUUVS] -> C:\WINDOWS\SYSTEM32\vtuuuvs.dll

[WinLogon\Notify\VTUUUVS]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUUUVS.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

C:\WINDOWS\XPUPDATE.EXE --> Eliminado BraveSentry(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUUVS.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUUVS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvbof.dll,startup"

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass.exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.100,85.255.112.169

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Jan 03 23:39:05 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\vtuuuvs.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\VTUUUVS"

Desinstalado EliNotif.dll

Thu Jan 03 23:44:01 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WOWFX.DLL.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WOWFX.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass.exe"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.116.100,85.255.112.169

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por Troyano de AppInit

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Fri Jan 04 00:03:01 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LJJGHIF] -> C:\WINDOWS\SYSTEM32\ljjghif.dll

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MGRS.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\MGRS.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvler.dll,startup"

Entrada Eliminada [HKLM\...\Run] "lsass"="C:\WINDOWS\lsass .exe"

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 00:03:27 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 1524

Nº Total de Ficheros: 21917

Nº de Ficheros Analizados: 2679

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Desinstalado EliNotif.dll

Fri Jan 04 00:16:23 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Windows update loader"="C:\Windows\xpupdate.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 00:19:05 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINGSA32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINGSA32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 00:19:19 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\Temp\WINA9.EXE --> Eliminado, BraveSentry(dldr)

C:\WINDOWS\Temp\WINC6.TMP --> Eliminado, BraveSentry(dldr)

Nº Total de Directorios: 5317

Nº Total de Ficheros: 81786

Nº de Ficheros Analizados: 18732

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sistema Infectado por el Downloader.ConHook

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Desinstalado EliNotif.dll

Fri Jan 04 01:29:21 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 01:35:52 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 01:36:06 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jan 04 01:39:49 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Nº Total de Directorios: 5313

Nº Total de Ficheros: 81675

Nº de Ficheros Analizados: 18725

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Desinstalado EliNotif.dll

Fri Jan 04 01:56:31 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 14:33:09 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=instalar.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 14:33:25 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5338

Nº Total de Ficheros: 81945

Nº de Ficheros Analizados: 18716

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Fri Jan 04 14:40:23 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

OPEN=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Jan 04 14:40:39 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5337

Nº Total de Ficheros: 81944

Nº de Ficheros Analizados: 18718

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Yo tengo el archivo .dll que me decis que baje pero siempre me pone eso de:

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Y ya reinicie no se cuantas veces y sigue, pero bueno.

chakal · Mensaje por **chakal** » 04 Ene 2008, 17:58

con el vundofix v6.7.7 doy eliminado todo lo de vundo menos el archivo que te comenté antes, el khfgdeb.dll ya que se inicia antes de el elistara y antes del vundofix, no se como quitarlo, y a partir de ese archivo se vuelven a crear otros, te mando ahora por email el archivo que no doy eliminado y el printer.exe, y gracias por todo ;-D

y por cierto las paginas de antivirus no me deja cargarlas( los antivirus online)

Mensaje por **msc hotline sat** » 04 Ene 2008, 19:23

No, si el PRINTER.EXE ya lo enviaste, por eso sé que es un VUNDO, lo que pasa es que lo que utilizaste para eliminar el VUNDO no lo conoce, y es normal, porque cada día salen de nuevos, como le pasa al ELISTARA con este que tambien te preocupa, el khfgdeb.DLL, pues bien, tanto uno como otro de momento vamos a eliminarlos arrancando en consola de recuperacion, que es la manera que no se resisten, de momento.

Para ello arranca con el CD de instalacion de windows, y pulsa R para acceder a la consola de recuperacion, y una vez en entorno DOS, vas al directorio donde estén estos ficheros (supongo que será el de sistema) y con un DEL eliminas primero uno y luego el otro.

Y nos cuentas el resultado, gracias

saludos

ms, 4-1-2008

NOTA:

Como que de este khfgdeb.DLL me parece que no enviaste muestra, guardate una copia en alguna parte antes de eliminarlo y nos lo envias luego, pues si no lo enviaste hemos de analizarlo para poderlo controlar en el futuro, incluso para tí por si hubiera que restaurar claves de registo que hubiera modificado.

Envianoslo cuando puedas, pues no puedeo saber si lo enviaste ya que no estoy ya en la empresa. (Aqui son las 19:25 y ya estoy en casa)

ms.

chakal · Mensaje por **chakal** » 04 Ene 2008, 21:57

Perdonad por mis pocos conocimientos de informatica jeje pero como llego a los archivos que quiero eliminar desde la consola? es que no tengo muy bien controlados los comandos, se que tengo que ir a C:\WINDOWS\System32\khgfdeb.dll pero no se como llegar gracias a cualquiera que sepa como llegar, no necesariamente msc hotline sat aunque sea el unico que me comente jeje

Las muestras ya las envié

Mensaje por **msc hotline sat** » 05 Ene 2008, 09:38

Una vez has arrancado y accedido con R a la consola de recuperacion, te situas en C: y con CD (change directory) llegas hasta el directorio en cuestión, y luego con un DEL borras el fichero de marras :

C: <enter>

CD windows <enter>

CD system32 <enter>

DEL khgfdeb.dll <enter>

saludos

ms, 5-1-2008

chakal · Mensaje por **chakal** » 05 Ene 2008, 14:26

Ya borre el khfgdeb.dll pero el virus sigue, los archivos del vundo se crean nada mas empezar y creo que es el printer.exe pero no se donde está

~~[b]~~[i]H[/i][/b]e encontrado una carpeta en WINDOWS que se llama pchealth y que dentro tiene los archivos del antivirus que me quieren vender, voy a eliminarla desde reparación a ver si así

El archivo printer, los archivos que me dice el vundofix y los archivos del pchealth se renuevan en cuanto los elimino

Mensaje por **msc hotline sat** » 05 Ene 2008, 15:48

Dices que no encuentras el PRINTER.EXE, pues bien, estaba en la carpeta de sistema pero el ELISTARA la ha movido a la d C:\muestras\ :

~~[b]~~[i]Por favor, envienos una muestra del fichero

C:\Muestras\PRINTER.EXE.Muestra EliStartPage v15.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado [/i][/b]

y como ves la ha eliminado de la de sistema.

Si no lo encuentras en C:\muestras\ es que se esconde, pero como que nos enviastes la muestra, el lunes lo controlaremos con la siguiente version del ELISTARA, aunque puede que haya algo que lo regenere...

y mirando lo que decias al respecto:

[quote]Publicado: Jue Ene 03, 2008 4:45 pm Título del mensaje:

--------------------------------------------------------------------------------

si os sirve de algo, cuando inicio en normal o en seguro me aparece esto, es del virus :

http://img49.imageshack.us/img49/4220/virusdemierdaor3.png
[/quote]

Esta imagen visualiza la pantalla de un ELITRIIP, lo cual nada tiene que ver con el VUNDO... es el ELISTARA el que lo controla !

Creo que debes tener un dropper del VUNDO que lo regenera...

Vuelvenos a postear el SPROCLOG.TXT pero esta vez generalo probando el SPROCES habiendo arrancado en modo seguro, gracias

Hemos de encontrar la madre del cordero, sino por mas que eliminemos los hijos, irá pariendo ...

saludos

ms, 5-1-2007

chakal · Mensaje por **chakal** » 05 Ene 2008, 15:58

Antes enseñe esa imagen para que vieses que se iniciaba el vundo aun habiendo iniciado en modo seguro nada mas jeje pero bueno si te fijas bien verás que tenía los 3 programas que me habias mandado funcionando aunque solo se viera el elitriip, tambien dije que el spybot search & destroy se me cerraba, pues bien, lo he instalado dandole a los botones muy rapido antes de que me lo cerrara el virus y voilá se instaló, ahora estoy haciendo un analisis y ya ha pillado unos cuantos :

despues te posteo la lista de los que ha pillado y como me ha ido,

[quote]
Vuelvenos a postear el SPROCLOG.TXT pero esta vez generalo probando el SPROCES habiendo arrancado en modo seguro, gracias

Hemos de encontrar la madre del cordero, sino por mas que eliminemos los hijos, irá pariendo ... [/quote]

eso que em as dicho como lo hago?? jeje es que como ya sabes no se mucho de informatica

Mensaje por **msc hotline sat** » 05 Ene 2008, 16:17

Pues arrancando en modo segur0 y lanzando el SPROCES, tras lo cual nos posteas un copiar y pegar del contenido del SPROGLOG.TXT

Asi miraremos si descubrimos el dropper que lo regenera, pediremos muestra y la analizaremos a ver si es la de verdad...

Sino miraremos con el ANTIROOTKIT DE McAfee, pero tiempo al tiempo

aludos

ms, 5-1-2008

LINKS AL RESPECTO:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras SALIR, posteanos el contenido del C:\SPROCLOG.TXT

ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

chakal · Mensaje por **chakal** » 05 Ene 2008, 16:52

Tras haber ~~[b]~~[i]h[/i][/b]echo lo que dije con anterioridad (Usar el spybot para acabar con el virus) lo usé, acabe con todo lo que me daba problemas y el triangulito con la informacion desapareció, aunque hubo un archivo que no dió eliminado (ccdda.dll) y lo tuve que hacer por reparación desde el disco de windows, todos los antivirus que he instalado hasta ahora me han dicho que estaba limpio, el elistara me dijo que ya no habia el vundo9 el vundofix decia que estaba limpio de vundo y el spybot no encontro virus, pues justo despues de eso me aparecieron unas cuantas pantallas del cmd en negro y desaparecieron, poco despues volvió el p**o triangulito (perdon por el taco) y los mensajes de alerta, ahora voy a pasar el sproces a ver que me dice ;-D

Mensaje por **msc hotline sat** » 05 Ene 2008, 17:08

Eso no sabemos qué es:

ccdda.dll

SI lo tienes, envianoslo para analizar.

saludos

ms, 5-1-2008

chakal · Mensaje por **chakal** » 05 Ene 2008, 20:36

Aqui va el sproces.txt:

Sat Jan 05 20:30:07 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\USERINIT.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SHELL.EXE

C:\DOCUMENTS AND SETTINGS\JORGE\ESCRITORIO\NUEVA CARPETA\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcca.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {1E13C82F-02A8-492F-836F-809D9578FE8A} - (no file)

O2 - BHO: (no name) - {4636150B-F148-44F3-BFAC-D8433AFBCB88} - C:\WINDOWS\system32\jkkli.dll (file missing)

O2 - BHO: (no name) - {4F73F05D-EEC6-4DB1-9693-B529E49B899B} - C:\WINDOWS\system32\ddcca.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {74AC8312-177B-4116-B62B-8510BD894170} - C:\WINDOWS\system32\vturr.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe

O4 - Startup: desktop.ini

O4 - Startup: findfast .exe

O4 - Startup: findfast .exe

O4 - Startup: findfast .exe

O4 - Startup: findfast .exe

O4 - Startup: findfast .exe

O4 - Startup: findfast .exe

O4 - Startup: findfast .exe

O4 - Startup: findfast.exe

O4 - Startup: OpenOffice.org 2.3.lnk

O4 - Global Startup: autorun.exe

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {24E31EA9-FCE2-404F-BD80-20543565D946} - Windows Installer Class - C:\DOCUME~1\jorge\CONFIG~1\Temp\~~install.dll (file missing)

Información Adicional:

----------------------

ShellExecuteHooks: {FA16FE06-B462-470E-9653-79C54B1871FF} - - C:\WINDOWS\system32\ljjghif.dll (file missing)

ShellExecuteHooks: {2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917} - - C:\WINDOWS\system32\khfgdeb.dll (file missing)

Activada Restricción del Panel de Control.(NoControlPanel)

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ATK0110 ACPI UTILITY (MTsensor) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ASACPI.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys

19 Servicios.

6 de Carga Automatica.

10 de Carga Manual.

3 Deshabilitados.

chakal · Mensaje por **chakal** » 05 Ene 2008, 21:33

He pasado el antivirus online que me sugeriste y me dijo esto:

shell.exe Win32/Crupor!generic infected C:\WINDOWS\

apphel.dll Win32/Kvol!generic infected C:\WINDOWS\system32\

csnpu.exe Win32/Alureon!generic infected C:\WINDOWS\system32\

ctfmon.exe.tmp Win32/Trats.A infected C:\WINDOWS\system32\

ddcca.exe Win32/Trats.A infected C:\WINDOWS\system32\

hosts.20080105-163057.backup Win32/Hostblock infected C:\WINDOWS\system32\drivers\etc\

drvbof.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvfix.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvlem.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvnog.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvnuf.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvpar.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

gkycq.exe Win32/Alureon!generic infected C:\WINDOWS\system32\

printer.exe Win32/Crupor!generic infected C:\WINDOWS\system32\

RCX22.tmp Win32/Trats.A infected C:\WINDOWS\system32\

RCX30.tmp Win32/Trats.A infected C:\WINDOWS\system32\

RCX36.tmp Win32/Trats.A infected C:\WINDOWS\system32\

RCX38.tmp Win32/Trats.A infected C:\WINDOWS\system32\

spoolvs .exe Win32/Crupor!generic infected C:\WINDOWS\system32\

spoolvs.exe Win32/Crupor!generic infected C:\WINDOWS\system32\

gos61.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gos7C.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gos80.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosA5.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosBD.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosC1.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosD4.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

win91 .exe Win32/Kastem.AU infected C:\WINDOWS\Temp\

winC6 .exe Win32/Kastem.AU infected C:\WINDOWS\Temp\

winD1.exe Win32/Kastem.AU infected C:\WINDOWS\Temp\

Mensaje por **msc hotline sat** » 06 Ene 2008, 10:03

Analizado el log del SPROCES, cabe indicar:

Pues efectivamente vemos residente el que te pedimos que nos envies de muestra para analizar:

C:\WINDOWS\system32\ddcca.exe

y tambien estos otros sospechosos:

C:\WINDOWS\SHELL.EXE

C:\WINDOWS\system32\spoolvs.exe

C:\WINDOWS\system32\printer.exe

envianoslos todos , (los que ya hubieras elkiminado no hace falta, claro) y mientras ya puedes eliminar estas claves:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {1E13C82F-02A8-492F-836F-809D9578FE8A} - (no file)

O2 - BHO: (no name) - {4636150B-F148-44F3-BFAC-D8433AFBCB88} - C:\WINDOWS\system32\jkkli.dll (file missing)

O2 - BHO: (no name) - {74AC8312-177B-4116-B62B-8510BD894170} - C:\WINDOWS\system32\vturr.dll (file missing)

ShellExecuteHooks: {FA16FE06-B462-470E-9653-79C54B1871FF} - - C:\WINDOWS\system32\ljjghif.dll (file missing)

ShellExecuteHooks: {2B3CBDC2-8AB6-45B1-B59E-7B0DEE595917} - - C:\WINDOWS\system32\khfgdeb.dll (file missing)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Hay muchos mas ficheros atipicos, y muchos otros drivers que no son muy habituales, pero de momento nos centramos en los arriba indicados, que son los mas probables.

A la vista del analisis de los mismos, informaremos

saludos

ms, 6-1-2008

Mensaje por **msc hotline sat** » 06 Ene 2008, 10:23

Y tu ultimo post sobre el resultado del antivirus online, pues vaya una colección ... !!!

Vemos que no nos equivocamos en algunos de los sospechosos, pero hay otros que ni aparecían en los logs, posiblemente por no estar en uso ni ser lanzados en las claves del registro, pero que interesa igualmente analizarlos para poder controlarlos !

~~[b]~~[i]Envianos, para analizar, un fichero de cada virus[/i][/b],

[quote]~~[b]~~[i]shell.exe[/i][/b] Win32/Crupor!generic infected C:\WINDOWS\

apphel.dll Win32/Kvol!generic infected C:\WINDOWS\system32\

csnpu.exe Win32/Alureon!generic infected C:\WINDOWS\system32\

ctfmon.exe.tmp Win32/Trats.A infected C:\WINDOWS\system32\

~~[b]~~[i]ddcca.exe[/i][/b] Win32/Trats.A infected C:\WINDOWS\system32\

hosts.20080105-163057.backup Win32/Hostblock infected C:\WINDOWS\system32\drivers\etc\

drvbof.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvfix.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvlem.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvnog.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvnuf.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

drvpar.dll Win32/Crushpy.O infected C:\WINDOWS\system32\

gkycq.exe Win32/Alureon!generic infected C:\WINDOWS\system32\

~~[b]~~[i]printer.exe[/i][/b] Win32/Crupor!generic infected C:\WINDOWS\system32\

RCX22.tmp Win32/Trats.A infected C:\WINDOWS\system32\

RCX30.tmp Win32/Trats.A infected C:\WINDOWS\system32\

RCX36.tmp Win32/Trats.A infected C:\WINDOWS\system32\

RCX38.tmp Win32/Trats.A infected C:\WINDOWS\system32\

~~[b]~~[i]spoolvs .exe[/i][/b] Win32/Crupor!generic infected C:\WINDOWS\system32\

spoolvs.exe Win32/Crupor!generic infected C:\WINDOWS\system32\

gos61.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gos7C.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gos80.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosA5.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosBD.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosC1.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

gosD4.tmp Win32/Crushpy.O infected C:\WINDOWS\Temp\

win91 .exe Win32/Kastem.AU infected C:\WINDOWS\Temp\

winC6 .exe Win32/Kastem.AU infected C:\WINDOWS\Temp\

winD1.exe Win32/Kastem.AU infected C:\WINDOWS\Temp\[/quote]

y ya vemos que algunos de los que ya habiamos pedido corresponden a un mismo virus: Win32/Crupor! y los que mas son del Crushpy.O y del WIn32/Trats.A

Pues si nos envias muestra, los controlaremos a todos !

saludos

ms, 6-1-2008