Problema con Troyano o Spybot...

NeoX · Mensaje por **NeoX** » 22 Ene 2008, 07:18

Que tal, tengo un problema y no he podido solucionarlo con lo que se...

Ya hice varios intentos aplicando el Elistara, el Eliitrip y el Spybot Search & Destroy y sigo teniendo el problema...

Aqui les dejo el Log del Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 23:33:03, on 01/21/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TDispVol.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Archivos de programa\Synaptics\SynTP\Toshiba.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\emMON.exe

C:\Archivos de programa\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Archivos de programa\Google\Google Talk\googletalk.exe

C:\Archivos de programa\Clock Tray Skins\ClockTraySkins.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\ARCHIV~1\MICROS~3\rapimgr.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe

C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

C:\WINDOWS\Integrator.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Opera\Opera.exe

C:\Documents and Settings\Edgar\Escritorio\Nueva carpeta\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://offers.whenu.com/installed.html?app=whenusavenow&ptr=DAEM0706010001&pds=WhenU%20SaveNow&toi=20070129203647

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 127.255.255.255 195.137.236.101

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.2.7.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SXG Advisor - {5257F0D5-2868-4758-94D3-E268EB6D43C5} - C:\WINDOWS\dopfwrlvtq.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: The egodktf - {4288B655-63B4-4817-BB1E-B6F3E242234F} - C:\WINDOWS\egodktf.dll (file missing)

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [THotkey] C:\Archivos de programa\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SmoothView] C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [emMON] emMON.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart

O4 - HKCU\..\Run: [SkinClock] C:\Archivos de programa\Clock Tray Skins\ClockTraySkins.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: AntiCrash.lnk = C:\Archivos de programa\Dachshund Software\AntiCrash\AntiCrash.exe

O4 - Startup: Battery Doubler.lnk = C:\Archivos de programa\Dachshund Software\Battery Doubler\Battery Doubler.exe

O4 - Startup: Hare.lnk = C:\Archivos de programa\Dachshund Software\Hare\Hare.exe

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe

O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

O4 - Startup: Zoom.lnk = C:\Archivos de programa\Dachshund Software\Zoom\Zoom.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{84BF9EBC-3CAD-4D6B-8F0E-E8C01F1E7E76}: NameServer = 24.197.160.17,24.197.160.18

O21 - SSODL: bxsnvqt - {0E8DD90C-83B9-4657-B914-231A6A4D3782} - C:\WINDOWS\bxsnvqt.dll (file missing)

O21 - SSODL: aslpmqk - {613F2AA6-8C38-4614-9AC6-9A0DAF97F0BA} - C:\WINDOWS\aslpmqk.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Archivos de programa\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\ARCHIV~1\Borland\vbroker\bin\oad.exe

O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\ARCHIV~1\Borland\vbroker\bin\osagent.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 13907 bytes

La vedad no me di cuenta como diablos se metio el Bicho y no sabria decirles si tiene nombre, el Elistara, Eliitrip y el Spybot si me detectaron muchos Bichos pero este sigue y sigue y sigue...

Ojala que me puedan ayudar. Gracias a Todos.

NeoX · Mensaje por **NeoX** » 22 Ene 2008, 07:20

Por cierto, aqui les dejo tambien el Log del Elistara, les debo el del Eliitrip.

Fri Jan 18 23:20:15 2008

EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\Edgar\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 18 23:23:58 2008

EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\SmartDraw 7\SDOFFICEADDIN.DLL --> Eliminado, BB Bargains

C:\Documents and Settings\Edgar\Escritorio\TODO\PORTABLE MAGIC ISO.EXE --> Eliminado, Spy.Banker.FJB(dropper)

Por favor, envienos una muestra del fichero

C:\Muestras\VIDEOACCESSCODECINSTALL.EXE.Muestra EliStartPage v15.47

a "virus@satinfo.es". Gracias.

C:\Downloads\VIDEOACCESSCODECINSTALL.EXE --> Eliminado, Nombre Vírico

C:\WINDOWS\INTZOOM.EXE --> Eliminado, IEDriver

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

Nº Total de Directorios: 5486

Nº Total de Ficheros: 52034

Nº de Ficheros Analizados: 16375

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

Sat Jan 19 09:19:33 2008

EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Edgar\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jan 19 09:19:56 2008

EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\ESET\ESET Smart Security\Drivers\epfwtdi\EPFWTDI.SYS --> Eliminado, PWS-JA

C:\WINDOWS\system32\drivers\EPFWTDI.SYS --> Eliminado, PWS-JA

Nº Total de Directorios: 5497

Nº Total de Ficheros: 52421

Nº de Ficheros Analizados: 16466

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sat Jan 19 09:30:14 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Jan 19 09:30:21 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)

Nº Total de Directorios: 5496

Nº Total de Ficheros: 52550

Nº de Ficheros Analizados: 14815

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Mon Jan 21 00:12:20 2008

EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Edgar\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Edgar\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jan 21 00:12:33 2008

EliStartPage v15.47 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5496

Nº Total de Ficheros: 53407

Nº de Ficheros Analizados: 16571

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jan 21 00:30:49 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Jan 21 00:30:51 2008

EliTriIP v4.31 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5496

Nº Total de Ficheros: 53394

Nº de Ficheros Analizados: 14889

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 22 Ene 2008, 07:42

Lo primero es, tras haber ejecutado el actual ELISTARA 15.48, postearnos el contenido del c:\infosat.txt, e informaremos.

En el log del HJT vemos claves anomalas:

Esta de un HOST con estas ip:

O1 - Hosts: 127.255.255.255 195.137.236.101

que una es de intranet y la otra de Dinamarca, supongo que no las conoce, verdad ???:

195.137.236.101 DK Denmark 56.0000 10.0000 Mermaid Consulting ApS, Aalborg Mermaid Consulting ApS, Aalborg

y esta parece querer descargar un WhenU, alguna nueva variante quizas...:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://offers.whenu.com/installed.html?app=whenusavenow&ptr=DAEM0706010001&pds=W henU%20SaveNow&toi=20070129203647

Luego hay estas que lanzan ficheros desconocidos:

O2 - BHO: SXG Advisor - {5257F0D5-2868-4758-94D3-E268EB6D43C5} - C:\WINDOWS\dopfwrlvtq.dll

O3 - Toolbar: The egodktf - {4288B655-63B4-4817-BB1E-B6F3E242234F} - C:\WINDOWS\egodktf.dll (file missing)

aunque el fichero indicado en la ultima podría estar oculto o haberse eliminado.

Y estos servidores de DNS... son voluntarios ??? :

24.197.160.17 US United States GA Georgia Lawrenceville 33.9543 -84.0101 CHARTER COMMUNICATIONS CHARTER COMMUNICATIONS 524 770

24.197.160.18 US United States GA Georgia Lawrenceville 33.9543 -84.0101 CHARTER COMMUNICATIONS CHARTER COMMUNICATIONS 524 770

y por ultimo estas dos claves lanzan ficheros sospechosos:

O21 - SSODL: bxsnvqt - {0E8DD90C-83B9-4657-B914-231A6A4D3782} - C:\WINDOWS\bxsnvqt.dll (file missing)

O21 - SSODL: aslpmqk - {613F2AA6-8C38-4614-9AC6-9A0DAF97F0BA} - C:\WINDOWS\aslpmqk.dll

que habría que ver si el primero no está o está oculto...

TOTAL: Tras postearnos el infosat arriba indicado, enviarnos estos fichceros para analizar:

C:\WINDOWS\dopfwrlvtq.dll

C:\WINDOWS\egodktf.dll

C:\WINDOWS\bxsnvqt.dll

C:\WINDOWS\aslpmqk.dll

y si no sabe porque las tiene, ya puede eliminar estas claves:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://offers.whenu.com/installed.html?app=whenusavenow&ptr=DAEM0706010001&pds=W henU%20SaveNow&toi=20070129203647

O1 - Hosts: 127.255.255.255 195.137.236.101

y las demas mencionadas ya las trataremos adecuadamante cuando hayamos analizado las muestras solicitadas y sepamos lo que son los ficheros que lanzan.

saludos

ms, 22-1-2008

NOTA:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ms.

NeoX · Mensaje por **NeoX** » 22 Ene 2008, 09:04

Gracias por su pronta respuesta :)

Y bueno, evidentemente no conocia esa IP de Dinamarca Jejeje

Los DNS si son Voluntarios, con eso no tengo problema.

En cuanto a los DLLs... Ya les mande las muestras, 2 de ellos (egodktf.dll y bxsnvqt.dll) fueron encrontrados y catalogados por el Spybot como ZlobDownloaderrid por eso el HJT no detecto los archivos, esos si fueron neutralizados pero los otros 2 no. Me imagino que ahi esta algun problema.

Mensaje por **msc hotline sat** » 22 Ene 2008, 09:36

Pues las claves de los que eliminó los ficheros ya las puede eliminar y las muestras que nos ha enviado, las analizaremos e informaremos

saludos

ms, 22-1-2008

Mensaje por **msc hotline sat** » 22 Ene 2008, 17:24

Ha enviado zips con password que no corresponde al previsto, y pasamos de ellos, pero las dos DLL indicadas pasan a ser controladas con el ELISTARA de hoy 15.49, que estará en esta web a partir de las 19 horas para pruebas de evaluacion en el foro de zonavirus.

Tras probarlo, posteenos el contenido del c:\infosat.txt, gracias

saludos

ms, 22-1-2008