no se puede conectar al servidor bantai usa ezrael.

Mensaje por **msc hotline sat** » 09 Ene 2008, 17:10

Eyyyyy !

Mirar lo que dice al final:

~~[b]~~[i]"No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)" [/i][/b]

En la misma carpeta del ELISTARA por en ELINOTIF.DLL, como se indica en :

https://foros.zonavirus.com/viewtopic.php?f=5&t=18469

y pruebas de nuevo, reinicias y demas

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 18:50

no hay suerte

-cuando tecleo el acceso directo me aparece archivo win31

-en google hablan de win31

-long

Wed Jan 09 18:24:54 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AGFGJBZT] -> C:\WINDOWS\SYSTEM32\datacleno.dll

C:\WINDOWS\SYSTEM32\DATACLENO.DLL --> DownLoader.ConHook3(notify) Acceso Denegado.

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 09 18:25:09 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\DATACLENO.DLL --> Acceso Denegado, DownLoader.ConHook3(notify)

C:\WINDOWS\system32\DATACLENO.DLL.VIR --> Acceso Denegado, DownLoader.ConHook3(notify)

Nº Total de Directorios: 6451

Nº Total de Ficheros: 93728

Nº de Ficheros Analizados: 16807

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook3

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook3

C:\WINDOWS\SYSTEM32\datacleno.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\AGFGJBZT"

Desinstalado EliNotif.dll

Wed Jan 09 18:41:12 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 09 Ene 2008, 19:11

Dejate de cuentos ! :wink:

Lo que queriamos eliminar ahora es el DATACLENO.DLL, y lo hemos logrado:

[quote]
EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook3

C:\WINDOWS\SYSTEM32\datacleno.dll -> Eliminado. [/quote]

Ahora, si queda suelto este WIN31.dll.vbs, que no recuerdo si enviaste o qué, vamos a por él.

Voy a ver que deciamos al respecto...

Pues decias que no lo encontrabas por ninguna parte ...

Mira si ahora, habiendo eliminado este, y arrancando en modo seguro, y viendo ficheros ocultos, lo ves, como debe ser, y si es asi, nos lo envias y lo controlaremos...

Venga que ya falta menos !

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 19:22

-perdona llevas razon el datacleno no esta pero el virus sigue exactamente igual

gracias un saludo

Mensaje por **msc hotline sat** » 09 Ene 2008, 19:31

No igual... :wink: ya le falta un trozo :lol:

Ahora a por el fichero que te pedimos, a ver si nos lo envias !

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 19:36

no aparece por ningun lado solo en el long

-tambien aparece al iniciar windows un error en el archivo[a1qs8] tras ello el avast afirma que no puede controlar el correo entrante y saliente

Logfile of HijackThis v1.99.1

Scan saved at 19:25:59, on 09/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

C:\WINDOWS\System32\WScript.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Netropa\InetKb\Inetkb.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wscript.exe

C:\Archivos de programa\AutoCAD 2006\acad.exe

C:\DOCUME~1\SCL\CONFIG~1\Temp\AdskCleanup.0001

C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

C:\Archivos de programa\Archivos comunes\Autodesk Shared\WSCommCntr1.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\C\Basura\Nueva carpeta\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

~~[b]~~O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs[/b]

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 09 Ene 2008, 19:43

Pues elimina estas claves:

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O4 - HKLM\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

O4 - HKCU\..\Run: [a1qs8] C:\WINDOWS\system32\a1qs8.exe

y tras reiniciar, mira si puedes encontrar este fichero:

C:\WINDOWS\system32\a1qs8.exe

y tambien este, si entonces aparece, lo cual es posible si alguno es un RootKit.:

C:\WINDOWS\WIN31.dll.vbs

y en tal caso nos lo envias como ya sabes.

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 09 Ene 2008, 20:03

-ya te he enviado el archivo por que el win31 no aparece por ningun lado

-el a1qs8 ha desaparecido del long pero el maldito win 31 sigue

Logfile of HijackThis v1.99.1

Scan saved at 19:56:52, on 09/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Netropa\InetKb\Inetkb.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\system32\wscript.exe

C:\C\Basura\Nueva carpeta\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

un saludo

Mensaje por **msc hotline sat** » 09 Ene 2008, 21:25

Pues elimina esta clave, y si se regenera, mira de encontrar el fichero que lanza, y ademas posteanos el log del SPROCES, que llega mas a fondo que el HJT:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras SALIR, posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 9-1-2008

Mensaje por **msc hotline sat** » 09 Ene 2008, 21:27

y lanza el nanoscan, a ver si detecta algo en memoria (y es solo 1 minuto):

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

saludos

ms, 9-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 08:41

-por mucho que elimino O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs vuelve a salir.

-el antivirus no lo puedo pasar por que en el ordenador infectado no funciona internet.

hu Jan 10 08:31:50 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE\OPWARE32.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NASDAK\OMNIMOUSE DRIVER\4.0\MOUSE32A.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\D-TOOLS\DAEMON.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\LABTEC\KEYBOARD\V5.1\KBDAP32A.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\INETKB\INETKB.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\NHKSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\FXSSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\WINDOWS\SYSTEM32\WSCRIPT.EXE

C:\WINDOWS\SYSTEM32\WSCRIPT.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\ALCOHOL.EXE

C:\DOCUMENTS AND SETTINGS\SCL\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CPrintEnhancer Object - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Corel Reminder]

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O4 - Startup: desktop.ini

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: Acrobat Assistant.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4AA3E64-7207-45DD-866A-BBAAD316BCE5}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\System32\drivers\hardlock.sys

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ASAPIW2K (ASAPIW2k) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\drivers\ASAPIW2k.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVerMedia DVB-T BDA Video Capture(A800) (avera800) - AVerMedia Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\avera800.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EraserUtilRebootDrv - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (file missing)

O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys

O23 - Service: Logitech PS/2 Mouse Filter Driver (l8042pr2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042Pr2.sys

O23 - Service: Logitech HID/USB Mouse Filter Driver (LHidFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidFlt2.sys

O23 - Service: Logitech Keyboard Class Filter Driver (LKbdFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LKbdFlt2.sys

O23 - Service: Logitech Mouse Class Filter Driver (LMouFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouFlt2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: MAT Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: Sony Digital Imaging Video (sonyhcs) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sonyhcs.sys

O23 - Service: tcpip_patcher - Windows (R) 2000 DDK provider - C:\Archivos de programa\Ares\tcpip_patcher.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: vsdatant - Zone Labs Inc. - C:\WINDOWS\System32\vsdatant.sys

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WINFLASH - Unknown owner - C:\WINDOWS\system32\DRIVERS\WINFLASH.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

33 Servicios.

7 de Carga Automatica.

24 de Carga Manual.

2 Deshabilitados.

un saludo y gracias

Mensaje por **msc hotline sat** » 10 Ene 2008, 09:41

Vuelve a eliminar estas claves que aparecen en el log:

O2 - BHO: (no name) - {727205CD-C4A6-4744-9424-4F3E19C71DA6} - c:\windows\system32\datacleno.dll

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

O20 - Winlogon Notify: AGFGJBZT - DATACLENO.DLL

y posteanos el c:\infosat.txt que te pediamos y no has hecho esta ultima vez. (cada vez que se prueba ujna de nuestras herramientas

de evaluacion se debe postear dicho log, para ver el resultado del proceso)

Segun lo que veamos, visto que no encuentras ninguno de los ficheros que intervienen (posiblemente protegidos por algun Rootkit) y que deben ser los que regeneran dichas claves, procederemos con la herramienta RootKit de McAfee, a ver si nos muestra algo oculto...

Pero es muy importante ver el ultimo infosat.txt, a ver si hay algo relativo a un AUTORUN.INF que lance con vbscript el win31.dll.vbs , creo que es la madre del cordero !

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 10:23

-perdonar soy novato

-te recuerdo que no tengo internet en el ordenador infestado

-long

Thu Jan 10 09:55:39 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 10 09:55:48 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6454

Nº Total de Ficheros: 93777

Nº de Ficheros Analizados: 16807

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 10 Ene 2008, 10:30

Otro trozo del virus tambien pasaremos a controlarlo gracias a la muestra enviada del A1QF8.EXE y que pasamos a controlar con el ELISTARA 15-51 de hoy con el nombre de SPY BZUB.BTX

Ahora ya solo nos falta el AUTORUN.INF de marras y el WIN31.DLL.VBS que debe haber en alguna parte (aunque escondido ) del disco duro o del pendrive.

Por cierto, No sé si te lo he dicho, pero es recomendable proteger disco duro y pendrives con ELIPEN :

ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp

Tengas o no este virus en ellos, impediras que otros de dicho tipo se propaguen a tu disco duro y que los pendrives los autopropaguen.

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 10:44

al procesar el elipen me ha detectado en c un autorum que luego tampoco aparece no se si vale para algo

un saludo gracias

eva27 · Mensaje por **eva27** » 10 Ene 2008, 10:58

he enviado unas muestras del autorum que me ha salido en c

los dos archivos estan dentro de una carpeta llamada autorum

un saludo gracias

eva27 · Mensaje por **eva27** » 10 Ene 2008, 11:10

perdona me he dado cuenta que esa carpeta la crea el elipen

- gracias un saludo

eva27 · Mensaje por **eva27** » 10 Ene 2008, 11:23

buenas noticias acabo de enviaros por fin una muestra del win 31 que estaba en c windows aunque yo creo que desaparece

un saludo

Mensaje por **msc hotline sat** » 10 Ene 2008, 11:35

Por favor, posteanos el contenido[u]~~[b]~~[i] total [/i][/b][/u]del C:\infosat.txt !!!

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 11:48

perdona no sabia que el elipen tenia infosat

Thu Jan 10 09:55:39 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 10 09:55:48 2008

EliStartPage v15.39 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6454

Nº Total de Ficheros: 93777

Nº de Ficheros Analizados: 16807

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Thu Jan 10 10:39:38 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------

Detectado C:\Autorun.inf

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida

Unidad C:\ YA esta Protegida

Detectado D:\Autorun.inf

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida

Unidad D:\ YA esta Protegida

Error Creando Carpeta.

Unidad E:\ No se Pudo Proteger

Error Creando Carpeta.

Unidad F:\ No se Pudo Proteger

Error Creando Carpeta.

Unidad H:\ No se Pudo Proteger

Unidad I:\ YA esta Protegida

Thu Jan 10 10:46:07 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ YA esta Protegida

Unidad D:\ YA esta Protegida

Error Creando Carpeta.

Unidad E:\ No se Pudo Proteger

Mensaje por **msc hotline sat** » 10 Ene 2008, 13:13

Todos los ELI... acumulan en el c:\infosat.txt el resultado del proceso, a titulo de historico, para asi poder seguir el problema.

Y vemos que tenias un autorun.inf en cada unidad C: y D: que han sido renombrado a .OLD, editalos y posteanos el contenido de ambos, pues en él veremos lo que lanzaba (que con el ELIPEN hemos aparcado)

Igual los dos son iguales, y a ver si lanzan el WIN31...

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 13:22

-no se como se editan por eso te lo mando por correo

-no se si te ha llegado la muestra del win 31 que te envie

un saludo gracias

eva27 · Mensaje por **eva27** » 10 Ene 2008, 13:37

-acabo de descubrir que si abro desde windows en c no aparece ningun win31 pero si abro el nero para grabar si aparece un win31 en c y otro c:\windows .

-el archivo se vuelve invisible para windows pero no para nero

-intento eliminarlo desde el explorador de nero pero me dice que el win 31 esta siendo utilizado por otro programa y no me deja eliminarlo

-parece que nos vamos acercando

-gracias un saludo

Mensaje por **msc hotline sat** » 10 Ene 2008, 13:58

Poco a poco van cayendo :lol:

Pero muy escondidos, eh ??? !!!

Bueno me acaban de decir que se han recibido. Esta tarde los analizaremos

Nos vamos a almorzar.

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 16:32

muchas gracias espero sus noticias

un saludo

Mensaje por **msc hotline sat** » 10 Ene 2008, 16:50

Analizado la muestra implementamos su eliminacion en el ELISTARA de hoy 15.41

No se protege demasiado, son con atributos R,S,H, y posiblemente solo miraba los ocultos, pero no veía los de sistema...

[quote]Para configurar Windows XP para que muestre las extensiones de archivo:

1- Doble click en MiPC.

2- Pulsar en el menú Herramientas, y luego en Opciones de carpeta.

3- Pulsar en la pestaña Ver.

5- Desmarcar "Ocultar extensiones de archivo para tipos de archivo conocidos".

6- En la carpeta "Archivos ocultos" seleccionar "Mostrar archivos y carpetas ocultos".

~~[b]~~[i]7- Desmarque "Ocultar archivos protegidos del sistema operativo".[/i][/b]

8- Pulsar Aplicar, y Aceptar. [/quote]

Bueno con un poco de suerte esta noche ya podrá dormir tranquilo !

Y hablo en masculino porque a pesar del nick imagino que sus iniciales son S.C. de Extremadura, no ?

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 17:03

munchisimas gracias estoy nervioso

-lo del nombre es por mi hija

un saludo

Mensaje por **msc hotline sat** » 10 Ene 2008, 17:26

Pues dentro de poco mas de hora y media , descargue la version 15.41 del ELISTARA y la prueba.

ya nos informará del resultado, gracias

saludos

ms, 10-1-2008

eva27 · Mensaje por **eva27** » 10 Ene 2008, 19:34

-casi lo eliminamos el troyano

-el win31 ya no existe

-pero internet y el correo no funciona(al empezar windows sale un mensaje de avast que no puede controlar el correo entrante y saliente)

-el ordenador va un poco lento

-los accesos directos a c secuestrados solucionado

aqui pego los long

Thu Jan 10 10:46:07 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ YA esta Protegida

Unidad D:\ YA esta Protegida

Error Creando Carpeta.

Unidad E:\ No se Pudo Proteger

Thu Jan 10 18:35:09 2008

EliStartPage v15.41 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WIN31.DLL.VBS --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 10 18:35:18 2008

EliStartPage v15.41 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WIN31.DLL.VBS --> Acceso Denegado, IE-Title o Solow(vbs)

C:\C\AAA\pasar\A1QS8.EXE --> Eliminado, Spy.BZub.BTX

C:\WINDOWS\WIN31.DLL.VBS --> Acceso Denegado, IE-Title o Solow(vbs)

C:\WINDOWS\system32\A1QS8.EXE --> Eliminado, Spy.BZub.BTX

Nº Total de Directorios: 6454

Nº Total de Ficheros: 93783

Nº de Ficheros Analizados: 16806

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 2

Thu Jan 10 18:49:41 2008

EliStartPage v15.41 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WIN31.DLL.VBS --> Eliminado

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 10 18:50:26 2008

EliStartPage v15.41 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WIN31.DLL.VBS --> Eliminado, IE-Title o Solow(vbs)

Nº Total de Directorios: 6454

Nº Total de Ficheros: 93779

Nº de Ficheros Analizados: 16803

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Thu Jan 10 19:01:40 2008

EliStartPage v15.41 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\WIN31.DLL.VBS --> Eliminado, IE-Title o Solow(vbs)

D:\RECYCLER\S-1-5-21-842925246-308236825-839522115-1008\DD38.VBS --> Eliminado, IE-Title o Solow(vbs)

D:\RECYCLER\S-1-5-21-842925246-308236825-839522115-1008\DD39.VBS --> Eliminado, IE-Title o Solow(vbs)

D:\RECYCLER\S-1-5-21-842925246-308236825-839522115-1008\DD40.VBS --> Eliminado, IE-Title o Solow(vbs)

Nº Total de Directorios: 825

Nº Total de Ficheros: 3629

Nº de Ficheros Analizados: 13

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Thu Jan 10 19:23:40 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE\OPWARE32.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NASDAK\OMNIMOUSE DRIVER\4.0\MOUSE32A.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\D-TOOLS\DAEMON.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\LABTEC\KEYBOARD\V5.1\KBDAP32A.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\ARCHIVOS DE PROGRAMA\ARES\ARES.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\INETKB\INETKB.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\MULTIMEDIA KEYBOARD\NHKSRV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\FXSSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE

C:\ARCHIVOS DE PROGRAMA\AHEAD\NERO STARTSMART\NEROSTARTSMART.EXE

C:\WINDOWS\SYSTEM32\IMAPI.EXE

C:\DOCUMENTS AND SETTINGS\SCL\ESCRITORIO\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CPrintEnhancer Object - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Archivos de programa\HP\Smart Web Printing\SmartWebPrinting.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Corel Reminder]

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Archivos de programa\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - Startup: desktop.ini

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: Acrobat Assistant.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Microsoft Office.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} - http://www.cyclomedia.nl/download/components/CycloScopeLite.cab

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: hardlock - Aladdin Knowledge Systems - C:\WINDOWS\System32\drivers\hardlock.sys

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Service for Realtek AC97 Audio (WDM) (ALCXWDM) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\ALCXWDM.SYS

O23 - Service: ASAPIW2K (ASAPIW2k) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\drivers\ASAPIW2k.sys

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVerMedia DVB-T BDA Video Capture(A800) (avera800) - AVerMedia Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\avera800.sys

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EraserUtilRebootDrv - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (file missing)

O23 - Service: HCF_MSFT - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\HCF_MSFT.sys

O23 - Service: Logitech PS/2 Mouse Filter Driver (l8042pr2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\L8042Pr2.sys

O23 - Service: Logitech HID/USB Mouse Filter Driver (LHidFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidFlt2.sys

O23 - Service: Logitech Keyboard Class Filter Driver (LKbdFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LKbdFlt2.sys

O23 - Service: Logitech Mouse Class Filter Driver (LMouFlt2) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LMouFlt2.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\R8139n51.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: MAT Serial port driver (Ser2pl) - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ser2pl.sys

O23 - Service: Sony Digital Imaging Video (sonyhcs) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\sonyhcs.sys

O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: vsdatant - Zone Labs Inc. - C:\WINDOWS\System32\vsdatant.sys

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WINFLASH - Unknown owner - C:\WINDOWS\system32\DRIVERS\WINFLASH.sys

Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

32 Servicios.

7 de Carga Automatica.

23 de Carga Manual.

2 Deshabilitados.

un saludo

Mensaje por **msc hotline sat** » 10 Ene 2008, 19:55

De donde ha salido la ultima clave ???

Eso es de Symantec y usas Avast, es que has instalado algo aparte de lo que hemos dicho ???

Por nuestra parte estaría listo, pero que has hecho que no te hayamos dicho nosotros , por voluntad propia o de quien sea ???

Cuentanos...

saludos

ms, 10-1-2008